0
我的公司擁有三重WIN/MAC/Ubuntu機器。安全更新
我不斷收到所有人的安全更新消息。
我的問題是:
怎樣微軟和其他公司找到如此多的安全漏洞?
有時候我發現我忘了更新一臺機器很長一段時間,在這段時間我有多脆弱?
不要黑客只能每天研究安全更新並嘗試利用尚未更新的機器 ?
感謝
Q
安全更新
A
回答
1
怎樣微軟和其他公司找到如此多的安全漏洞?
通常,它們不是。根據我的經驗,供應商自己往往不會花大力氣去積極尋找和修復自己的漏洞。但是,有很多安全研究人員嘗試使用反向工程(靜態二進制分析和動態運行時分析)和fuzz testing的某些組合來發現漏洞,以挑起不當行爲,然後評估觀察到的崩潰的可利用性。
Zero Day Initiative是一家公司的示例,該公司向研究人員付款並讓廠商有時間在向公衆發佈有關它們的詳細信息(此過程稱爲負責任披露)之前修復發現的漏洞。
有時候我發現我忘記更新機器了很長的時間,我在這段時間內有多脆弱?
這取決於漏洞的類型,但通常答案是「非常非常」。
不要黑客只能每天研究安全更新,並且 會嘗試利用尚未更新的機器?
這就是他們所做的。通常這很容易,因爲修補漏洞的概念驗證漏洞是公開可用的。如果情況並非如此,那麼至少可以對補丁進行反向工程,以瞭解固定漏洞的含義。有一個BitBlaze subproject,提供了這個過程如何自動化的概念證明。
相關問題
- 1. 線程安全更新
- 2. Wild security安全/ bugfix更新
- 3. IBM MobileFirst直接更新和安全性
- 4. 線程安全,防止變量更新
- 5. 更新控制線程安全
- 6. ASP.NET 5中的安全更新
- 7. PHP查詢生成器安全更新
- 8. MVC 3.0.0.0的安全更新無效?
- 9. 更新基地有多安全?
- 10. 更新詹金斯安全設置
- 11. 應用安全更新到SQL Server
- 12. 安全地更新異步foreach的值?
- 13. Django。線程安全更新或創建。
- 14. 使用熱更新現有安全組
- 15. JDK 1.8關鍵更新/安全補丁
- 16. 如何安全地更新Grails插件
- 17. 如何更新MongoDB中安全
- 18. 使xampp更安全
- 19. 如何在Amazon Linux AMI EC2實例上安裝安全更新?
- 20. HTML5是否讓Javascript遊戲更安全(更安全)?
- 21. 全局更新全部uitableviewcell
- 22. 將Moodle更新到最新的安全版本
- 23. 更新現有的安全組創建新的EC2 CloudFormation
- 24. 在App更新之間更改通知名稱是否安全?
- 25. Kitematic失敗全新安裝
- 26. Android SDK和全新安裝
- 27. 不能全新安裝
- 28. MVN全新安裝+ java.lang.NoClassDefFoundError
- 29. WCF安全 - 新手問題 -
- 30. Paypal TLS安全更改
我認爲尼克拉斯已經回答了您的問題,但您也可以嘗試在ServerFault.com上發佈它 – DOK 2012-03-10 18:01:58
不,請勿重新發布。我已經將此標記爲被移至另一個SE網站。 – 2012-03-10 18:03:51